DNS ו- DHCP ב- CentOS 7 - רשתות SMB

אינדקס כללי של הסדרה: רשתות מחשבים עבור חברות קטנות ובינוניות: מבוא

שלום חברים!. נראה במאמר זה כיצד נוכל ליישם את צמד השירותים החשוב עבור רשתות שהורכב מ- DNS ו- DHCP ב- CentOS - לינוקס, במיוחד בגרסת 7.2 שלה.

• כמה מאמרים על DNS מתייחסים לעובדה שהטמעת שירות זה מעט לא ברורה וקשה. אני לא מאוד מסכים עם הצהרה זו. אני מעדיף לומר שזה קצת רעיוני ושרבים מקבצי התצורה שלו כוללים תחביר מטריד. למרבה המזל, יש לנו כלים לבדוק, צעד אחר צעד, את התחביר של כל קובץ תצורה שאנו משנים. לכן, ננסה להפוך את הקריאה לפוסט זה לנעימה ומהנה ככל האפשר..

למי שמחפש מושגים בסיסיים לגבי שני השירותים, אנו ממליצים בחום להתחיל את החיפוש בוויקיפדיה, הן בגרסאות הספרדיות והן באנגלית. זה לא פחות נכון שמאמרים באנגלית כמעט תמיד שלמים וקוהרנטיים יותר. ובכל זאת, ויקיפדיה היא נקודת התחלה טובה מאוד.

לאלו מכם שרוצים באמת ללמוד על DNS ו- BIND, אנו ממליצים לקרוא את הספר «OReilly - DNS ו- BIND 4ed" נכתב על ידי פול אלביץ y קריקט ליו, או מהדורה מאוחרת יותר שבוודאי קיימת.

פרסמנו כבר מאמר בנושא שכותרתו «DNS ו- DHCP ב- openSUSE 13.2 Harlequin - רשתות קטנות ובינוניות»לאוהבי הסביבה הגרפית. עם זאת, מעתה הם יתמודדו עם מאמרים בנושא זה - ולא על אחרים - שנכתבו עם שימוש רב באמולטור של מסוף או קונסולה. וואו, בסגנון הקלאסי המשמש את מנהלי המערכת של UNIX® / Linux.

אם אתה רוצה לדעת יותר על שם המשפחה של כותרת המאמר הזה «רשתות קטנות ובינוניות»תוכלו לבקר בדף בבלוג זה«רשתות קטנות ובינוניות: קיצוץ וירטואלי ראשון«. בו תוכלו למצוא קישורים למאמרים רבים אחרים שפורסמו.

• לאחר סיום ההתקנה של מערכת ההפעלה CentOS 7 עם החבילות שאנו ממליצים עליהן, eספריה /usr/share/doc/bind-9.9.4/ מכיל כמות טובה של תיעוד עליו אנו ממליצים להתייעץ לפני שתתחיל בחיפוש באינטרנט מבלי שתדע קודם לכן, בקצות אצבעותיך ובביתך, תוכל למצוא את מבוקשך.

התקנת מערכת בסיס

נתונים כלליים של התחום ושרת ה- DNS

שם דומיין: fromlinux.fan
שם שרת DNS: dns.fromlinux.fan
כתובת IP: 192.168.10.5
מסיכת רשת משנה: 255.255.255.0

התקנה

אנו מתחילים בהתקנה חדשה או נקייה של מערכת ההפעלה CentOS 7 כפי שצוין במאמר הקודם «CentOS 7 Hypervisor I - רשתות SMB«. עלינו לבצע רק את השינויים הבאים:

• ב Imagen 22 «בחירת תוכנה«, אנו ממליצים לבחור בעמודה השמאלית«סביבת בסיס»האפשרות המתאימה ל-«שרת תשתית«, בעמודה הימנית«תוספים לסביבה נבחרת»בחר בתיבת הסימון«שרת DNS«. נתקין את שרת DHCP בהמשך.
• בואו נזכור את הצהרת המאגרים הנוספים כפי שמוצג ב Imagen 23, לאחר הגדרת הסימן «שם רשת וצוות".
• התמונות המתייחסות למחיצות שניצור בכונן הקשיח ניתנות רק כמדריכים. אל תהסס לבחור את המחיצות לפי שיקול דעתך, תרגולך ושיקול דעתך.
• לבסוף, ב תמונה 13 «רשת & שם צוות", עלינו לשנות את הערכים בהתאם לפרמטרים הכלליים של התחום המוצהר ושרת ה- DNS, מבלי לשכוח לציין את שם המארח - במקרה זה «DNS«- לאחר השלמת תצורת הרשת. זה חיובי לעשות פינג -מארח אחר- לכתובת ה- IP שצוינה לאחר שהרשת פעילה:

יש מעט מאוד ושינויים ברורים מאוד שעלינו לבצע ביחס למאמר הקודם.

בדיקות והתאמות ראשוניות

לאחר התקנת מערכת ההפעלה עלינו לבדוק לפחות את הקבצים הבאים, ולשם כך אנו מתחילים הפעלה באמצעות SSH מהמחשב שלנו sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ ssh 192.168.10.5
סיסמת buzz@192.168.10.5: כניסה אחרונה: יום שבת 28 בינואר 09:48:05 2017 משנת 192.168.10.1
[buzz @ dns ~] $

הפעולה הנ"ל עשויה להימשך זמן רב מהרגיל, והיא נובעת בעיקר מכך שאין לנו עדיין DNS ברשת המקומית. בדוק שוב מאוחר יותר ש- DNS פועל.

[buzz @ dns ~] $ cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6

[buzz @ dns ~] $ cat / etc / hostname
DNS

[buzz @ dns ~] $ cat / etc / sysconfig / scripts network / ifcfg-eth0
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eth0
UUID=946f5ac9-238a-4a94-9acb-9e3458c680fe
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.10.5
PREFIX=24
GATEWAY=192.168.10.1
DNS1=127.0.0.1
DOMAIN=desdelinux.fan

[buzz @ dns ~] $ cat /etc/resolv.conf 
# נוצר על ידי חיפוש NetworkManager מ- linux.fan nameserver 127.0.0.1

התצורות העיקריות מגיבות לבחירות שלנו. שימו לב שגם בשרת Red Hat 7 - CentOS 7, מוגדר כברירת מחדל כאשר מנהל רשת כך שזה זה שמנהל את ממשקי הרשת, בין אם הם קווית או אלחוטית (WiFi), חיבורי VPN, חיבורי PPPoE וכל חיבור רשת אחר.

[buzz @ dns ~] $ sudo systemctl מנהל רשת
סיסמת [sudo] לבאז: ● networkmanager.service נטען: לא נמצא (סיבה: אין קובץ או ספרייה כאלה) פעיל: לא פעיל (מת)

[buzz @ dns ~] $ sudo systemctl status NetworkManager
● NetworkManager.service - מנהל רשת נטען: טעון (/usr/lib/systemd/system/NetworkManager.service; מופעל; מוגדר מראש של ספק: מופעלפעיל: פעיל (פועל) מאז יום שבת 2017-01-28 12:23:59 EST; לפני 12 דקות PID ראשי: 705 (NetworkManager) CGroup: /system.slice/NetworkManager.service └─705 / usr / sbin / NetworkManager - no-daemon

Red Hat - CentOS מאפשרת גם לחבר ולנתק ממשקי רשת באמצעות הפקודות הקלאסיות אם כן e אם למטה. בואו לרוץ על קונסולת שרתים:

[root @ dns ~] # ifdown eth0
המכשיר 'eth0' נותק בהצלחה.

[root @ dns ~] # ifup eth0
החיבור הופעל בהצלחה (נתיב פעיל D-Bus: / org / freedesktop / NetworkManager / ActiveConnection / 1)

• אנו מציעים אל תשנה את הגדרות ברירת המחדל שמציעה CentOS 7 ביחס מנהל רשת.

אנו מצהירים באופן סופי על המאגרים שאנו נשתמש בהם ולעדכן את מערכת ההפעלה במידת הצורך:

[buzz @ dns ~] $ su סיסמה: [root @ dns buzz] # cd /etc/yum.repos.d/
[root @ dns yum.repos.d] # ls -l
סה"כ 28 -rw-r - r--. שורש שורש אחד 1 1664 בדצמבר 9 CentOS-Base.repo -rw-r - r--. שורש שורש אחד 2015 1 בדצמבר 1309 CentOS-CR.repo -rw-r - r--. שורש שורש אחד 9 2015 בדצמבר 1 CentOS-Debuginfo.repo -rw-r - r--. שורש שורש אחד 649 9 בדצמבר 2015 CentOS-fasttrack.repo -rw-r - r--. שורש שורש אחד 1 בדצמבר 290 CentOS-Media.repo -rw-r - r--. שורש שורש 9 2015 1 בדצמבר 630 CentOS-Sources.repo -rw-r - r--. שורש שורש אחד 9 2015 בדצמבר 1 CentOS-Vault.repo

בריא לקרוא את התוכן של קבצי ההצהרה המקוריים מהמאגרים המומלצים של CentOS. השינויים שאנו מבצעים כאן נובעים מכך שאין לנו גישה לאינטרנט, ואנחנו עובדים עם מאגרים מקומיים שהורדו מכפר WWW, על ידי עמיתים שמקלים על חיינו. 😉

[root @ dns yum.repos.d] מקורי # mkdir
[root @ dns yum.repos.d] # mv CentOS- * original /

[root @ dns yum.repos.d] # nano centos-repos.repo
[centos-base]
name=CentOS-$releasever
baseurl=http://10.10.10.1/repos/centos/7/base/
gpgcheck=0
enabled=1

[centos-updates]
name=CentOS-$releasever
baseurl=http://10.10.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ dns yum.repos.d] # yum נקי הכל
תוספים טעונים: המהיר מירור, langpacks מאגרי ניקוי: centos-base centos-updates מנקים הכל

[root @ dns yum.repos.d] עדכון # yum
תוספים טעונים: המהיר מירור, langpacks בסיס בסיסי | 3.4 kB 00:00 עדכוני centos | 3.4 kB 00:00 (1/2): centos-base / primary_db | 5.3 מגהב 00:00 (2/2): centos-updates / primary_db | 9.1 מגהב 00:00 קביעת מראות מהירות ביותר אין חבילות המסומנות לעדכון

ההודעה «אין (קיימות) חבילות המסומנות לעדכון» - «אין חבילות המסומנות לעדכון»מציין כי על ידי הצהרת המאגרים העדכניים ביותר העומדים לרשותנו במהלך ההתקנה, הותקנו בדיוק החבילות העדכניות ביותר.

אודות הקשר SELinux וחומת האש

אנו מתמקדים במאמר זה - ביסודו - ביישום שירותי DNS ו- DHCP, שהוא מטרתו העיקרית.

אם קורא כלשהו בחר מדיניות אבטחה במהלך תהליך ההתקנה, כפי שמצוין בסעיף Imagen 06 של מאמר ההתייחסות «CentOS 7 Hypervisor I - רשתות SMB»משמש להתקנה של שרת DNS זה - DHCP, ואתה מגלה שאתה לא יודע כיצד להגדיר נכון את SELinux ואת חומת האש של CentOS, אנו ממליצים לך להפעיל את הדברים הבאים:

שנה את הקובץ / etc / sysconfig / selinux ולשנות SELINUX = אכיפה ידי SELINUX = השבת

[root @ dns ~] # nano / etc / sysconfig / selinux
# קובץ זה שולט במצב SELinux במערכת. # SELINUX = יכול לקחת אחד משלושת הערכים האלה: # אכיפה - מדיניות האבטחה של SELinux נאכפת. # מתירני - SELinux מדפיסה אזהרות במקום אכיפה. # מושבת - לא נטענת מדיניות SELinux.
SELINUX = מושבת
# SELINUXTYPE = יכול לקחת אחד משלושה שני ערכים: # ממוקד - תהליכים ממוקדים מוגנים, # מינימום - שינוי מדיניות ממוקדת. רק התהליכים שנבחרו הם pr $ # mls - הגנת אבטחה מרובת רמות. SELINUXTYPE = ממוקד

לאחר מכן הפעל את הפקודות הבאות

[root @ dns ~] # setenforce 0

[root @ dns ~] # עצירת firewallld שירות
הפניה מחדש אל / bin / systemctl עצירה של firewalld.service

[root @ dns ~] # systemctl השבת את firewallld
הסיר קישור /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. הסיר קישור /etc/systemd/system/basic.target.wants/firewalld.service.

אם אתה מיישם שרת DNS הפונה לאינטרנט, אתה לא צריך לעשות את האמור לעיל, אלא להגדיר את ההקשר של SELinux ואת חומת האש כהלכה. לִרְאוֹת "תצורת שרתים עם GNU / Linux, מאת המחבר ג'ואל באריוס דוניאס" או תיעוד CentOS עצמו - Red Hat

אנו מגדירים את שם ה- BIND

• Eספריה /usr/share/doc/bind-9.9.4/ מכיל כמות טובה של תיעוד שאנו ממליצים להיוועץ בו לפני היציאה לחיפוש באינטרנט מבלי לדעת תחילה, בקצות אצבעותיך ובביתך, תוכל למצוא את מבוקשך

בהפצות רבות נקרא שירות ה- DNS המותקן דרך חבילת BIND בשם (שם לדמון). ב- CentOS 7 היא מותקנת מושבתת כברירת מחדל, על פי פלט הפקודה הבאה, שם היא מציינת שהסטטוס שלה הוא «נכה«, וכי מצב זה מוגדר מראש על ידי" המוכר "שלו - קבוע מראש של ספק. למען הפרוטוקול, BIND היא תוכנה חופשית.

הפעלת השירות הנקוב

[root @ dns ~] # systemctl status בשם
● named.service - דומיין שם האינטרנט של ברקלי (DNS) טעון: טעון (/usr/lib/systemd/system/named.service; נכה; מוגדר מראש של ספק: מושבתפעיל: לא פעיל (מת)

[root @ dns ~] # systemctl הפעל בשם
נוצר קישור סימלי מ /etc/systemd/system/multi-user.target.wants/named.service אל /usr/lib/systemd/system/named.service.

[root @ dns ~] # systemctl התחל בשם

[root @ dns ~] # systemctl status בשם
● named.service - דומיין שם האינטרנט של ברקלי (DNS) טעון: טעון (/usr/lib/systemd/system/named.service; מופעל; מוגדר מראש של ספק: מושבת)
   פעיל: פעיל (פועל) מאז יום שבת 2017-01-28 13:22:38 EST; לפני 5 דקות תהליך: 1990 ExecStart = / usr / sbin / בשם - u בשם $ OPTIONS (code = exited, status = 0 / SUCCESS) תהליך: 1988 ExecStartPre = / bin / bash -c if [! "$ DISABLE_ZONE_CHECKING" == "כן"]; ואז / usr / sbin / named-checkconf -z /etc/named.conf; אחר מהדהד "בדיקת קבצי אזור מושבתת"; fi (code = exited, status = 0 / SUCCESS) PID ראשי: 1993 (שם) CGroup: /system.slice/named.service └─1993 / usr / sbin / named -u בשם 28 Jan 13:22:45 dns בשם [1993]: שגיאה (רשת בלתי נגישה) פותרת './NS/IN': 2001: 500: 2f :: f # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (לא ניתן להשיג ברשת) פותרת './ DNSKEY / IN ': 2001: 500: 3 :: 42 # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (רשת בלתי נגישה) פותרת' ./NS/IN ': 2001: 500: 3 :: 42 # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (לא ניתן להגיע לרשת) פותר './DNSKEY/IN': 2001: 500: 2d :: d # 53 28 בינואר 13:22:47 dns בשם [1993 ]: שגיאה (לא ניתן להגיע לרשת) בפתרון './NS/IN': 2001: 500: 2d :: d # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (ברשת בלתי נגישה) בפתרון './DNSKEY/ IN ': 2001: dc3 :: 35 # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (לא ניתן להגיע לרשת) נפתרת' ./NS/IN ': 2001: dc3 :: 35 # 53 28 בינואר 13: 22:47 dns בשם [1993]: שגיאה (רשת אינה ניתנת להשגה) פותרת './DNSKEY/IN': 2001: 7fe :: 53 # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (רשת בלתי נגישה) res olving './NS/IN': 2001: 7fe :: 53 # 53 28 בינואר 13:22:48 dns בשם [1993]: zone-keys-managed: לא ניתן להביא את הגדרת DNSKEY '.': זמן קצוב

[root @ dns ~] # systemctl הפעלה מחדש בשם

[root @ dns ~] # systemctl status בשם
● named.service - דומיין שם האינטרנט של ברקלי (DNS) טעון: נטען (/usr/lib/systemd/system/named.service; מופעל; הגדרת הגדרות קבועות מראש של ספק: מושבתת)
   פעיל: פעיל (פועל) מאז יום שבת 2017-01-28 13:29:41 EST; לפני שניות תהליך: 1 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 1449> & 2 || / bin / kill -TERM $ MAINPID (code = exited, status = 1 / SUCCESS) תהליך: 0 ExecStart = / usr / sbin / named -u בשם $ OPTIONS (code = exited, status = 1460 / SUCCESS) תהליך: 0 ExecStartPre = / bin / bash -c אם [! "$ DISABLE_ZONE_CHECKING" == "כן"]; ואז / usr / sbin / named-checkconf -z /etc/named.conf; אחר מהדהד "בדיקת קבצי אזור מושבתת"; fi (code = exited, status = 1457 / SUCCESS) PID ראשי: 0 (שם) CGroup: /system.slice/named.service └─1463 / usr / sbin / called -u בשם 1463 Jan 28:13:29 dns בשם [41]: אזור המפתחות המנוהלים: קובץ היומן אינו מעודכן: הסרת קובץ היומן 1463 בינואר 28:13:29 dns בשם [41]: אזור המפתחות המנוהלים: נטען סדרתי 1463 בינואר 2 28:13:29 dns שם [41]: אזור 1463.in-addr.arpa/IN: טעון סדרתי 0 ינואר 0 28:13:29 dns בשם [41]: אזור localhost.localdomain / IN: טעון סדרתי 1463 ינואר 0 28:13:29 dns שם [41]: אזור 1463.in-addr.arpa/IN: טעון סדרתי 1.0.0.127 0 בינואר 28:13:29 dns בשם [41]: אזור 1463 .1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa / IN: טעון סדרתי 0 ינואר 28 13:29:41 dns בשם [1463]: אזור localhost / IN: טעון סדרתי 0 ינואר 28 13 : 29: 41 dns בשם [1463]: כל האזורים הנטענים 28 בינואר 13:29:41 dns בשם [1463]: פועל 28 בינואר 13:29:41 dns systemd [1]: התחיל ברקלי דומיין שם אינטרנט (DNS).

לאחר שנאפשר את השירות בשם ואנחנו מתחילים את זה בפעם הראשונה, את הפלט של הפקודה סטטוס systemctl בשם מראה שגיאות. כאשר אנו מפעילים מחדש את השירות למטה, ה- בשם יוצר את כל קבצי התצורה, אשר כברירת מחדל נחוצים להפעלתם הנכונה. לכן, כאשר אנו מבצעים את הפקודה שוב סטטוס systemctl בשם לא מוצגות שגיאות נוספות.

• קורא יקר, יקר ותובעני: אם ברצונך לברר -לפחות- איזו דרך מובילה לסוף חור הארנב, אנא קרא ברוגע את הפלטים המפורטים של כל פקודה. 😉 אין ספק שהמאמר ייראה מעט ארוך, אך אל תכחיש שהוא זוכה להסבר ולבהירות.

אנו משנים את הקובץ /etc/named.conf

הערות קוראים רבות מבטאות -אני לא אומר את זה- המאניה שיש לתחזוקה של הפצות לינוקס שונות, של איתור קבצי תצורת מערכת בתיקיות עם שמות שונים בהתאם להפצה. הם צודקים. אך מה אנו יכולים, המשתמשים הפשוטים המשתמשים בהפצות אלה, לעשות? לְהִסְתָגֵל! 😉

אגב, ב- FreeBSD, שיבוט UNIX® «המקור», הקובץ נמצא /usr/local/etc/namedb/named.conf; בעודו בדביאן, בנוסף לפיצול לארבעת הקבצים named.conf, named.conf.options, named.conf.default-zones, ושם.conf.local, נמצא בתיקיה / etc / bind /. מי שרוצה לדעת איפה openSUSE ממקם אותו, קרא «DNS ו- DHCP ב- openSUSE 13.2 Harlequin - רשתות קטנות ובינוניות«. הקוראים צודקים! 😉

וכמו שאנחנו תמיד עושים: לפני שנשנה משהו, אנו שומרים את קובץ התצורה המקורי תחת שם אחר.

[root @ dns ~] # cp /etc/named.conf /etc/named.conf.original

כדי להקל על החיים, במקום לייצר את המפתח TSIG עבור עדכוני DNS דינמיים על ידי DHCP, אנו מעתיקים את אותו מפתח מקש rndc. כמו dhcp.key.

[root @ dns ~] # cp /etc/rndc.key /etc/dhcp.key

[root @ dns ~] # nano /etc/dhcp.key
מקש "dhcp-key" {אלגוריתם hmac-md5; סודי "OI7Vs + TO83L7ghUm2xNVKg =="; };

כך ש בשם יכולים לקרוא את הקובץ שהועתק זה עתה, אנו משנים את קבוצת הבעלים שלו:

[root @ dns ~] # root root: שם /etc/dhcp.key [root @ dns ~] # ls -l /etc/rndc.key /etc/dhcp.key -rw-r -----. שורש אחד בשם 1 בינואר 77 28:16 /etc/dhcp.key -rw-r -----. שורש אחד בשם 36 1 בינואר 77:28 /etc/rndc.key

פרטים קטנים כמו הקודמים הם מה שיכול לשגע אותנו בניסיון להבין, עכשיו ... איפה הבעיה ...? עם עוד כמה שמות תואר שאנחנו לא כותבים מכבוד לכבוד.

עכשיו אם - סוף סוף! - נשנה את הקובץ /etc/named.conf. השינויים או התוספות שביצענו, ביחס למקור, נמצאים ב נוֹעָז. תסתכל טוב כמה מעטים.

[root @ dns ~] # nano /etc/named.conf
// // named.conf // // מסופק על ידי חבילת bind של Red Hat להגדרת תצורת ה- ISC BIND בשם (8) DNS // שרת כשרת שמירה במטמון בלבד (כפתרון DNS מקומי בלבד). // // ראה / usr / share / doc / bind * / sample / לדוגמא קבצי תצורה בשם. //

// רשימת בקרת גישה שמצהירה אילו רשתות יוכלו להתייעץ
// השרת שלי
acl הסתכל {
 127.0.0.0 / 8;
 192.168.10.0 / 24;
};

אפשרויות {
 // אני מצהיר שהדמון ששמו מקשיב גם לממשק
 // eth0 שיש לו IP: 192.168.10.5
    יציאת האזנה 53 {127.0.0.1; 192.168.10.5; };
    האזן ב- v6 יציאה 53 {:: 1; }; ספריה "/ var / named"; קובץ dump "/var/named/data/cache_dump.db"; קובץ סטטיסטיקה "/var/named/data/named_stats.txt"; קובץ memstatistics "/var/named/data/named_mem_stats.txt";

 // הצהרת משלחים
 // משלחים {
 // 0.0.0.0;
 // 1.1.1.1;
 //};
    // קדימה ראשונה;

    // אני מתיר שאילתות רק ל- ACL מירד שלי
    allow-query {mired; }; // כדי לבדוק באמצעות הפקודה dig desdelinux.fan axfr // מתחנת העבודה SysAdmin ומ- localhost בלבד // אין לנו שרתי DNS עבדים. אנחנו לא צריכים את זה ... עד עכשיו.
 העברת הרשאה {localhost; 192.168.10.1; };

    / * - אם אתה בונה שרת DNS מורשה, אל תאפשר רקורסיה. - אם אתה בונה שרת DNS RECURSIVE (מטמון), עליך לאפשר רקורסיה. - אם לשרת ה- DNS הרקורסיבי שלך יש כתובת IP ציבורית, עליך לאפשר בקרת גישה כדי להגביל שאילתות למשתמשים החוקיים שלך. כישלון לעשות כן יביא לשרת שלך להיות חלק מהתקפות הגברה של DNS בקנה מידה גדול. יישום BCP38 ברשת שלך יצמצם מאוד את משטח ההתקפה הזה * /
    // אנו רוצים שרת AUTHORITY עבור ה- LAN שלנו - SME
    רקורסיה לא;

    הפעלת dnssec כן; אימות dnssec כן; / * נתיב למפתח DLV ISC * / bindkeys-file "/etc/named.iscdlv.key"; ספריה מנוהלת-מפתחות "/ var / named / dynamic"; קובץ pid "/run/named/named.pid"; file-keyfile "/ run/named/session.key"; }; רישום {channel default_debug {file "data / named.run"; דינמיות חומרה; }; }; אזור "." IN {סוג רמז; קובץ "named.ca"; }; כוללים "/etc/named.rfc1912.zones"; כוללים "/etc/named.root.key";

// אנו כוללים את מפתח TSIG לעדכוני DNS דינמיים // מאת DHCP
כוללים "/etc/dhcp.key";

// הצהרת שם, סוג, מיקום והיתר עדכון
// של אזורי רשומות ה- DNS // שני האזורים הם MASTERS
אזור "desdelinux.fan" {
 סוג מאסטר;
 קובץ "דינמי / db.fromlinux.fan";
 allow-update {key dhcp-key; };
};

אזור "10.168.192.in-addr.arpa" {
 סוג מאסטר;
 קובץ "דינמי / db.10.168.192.in-addr.arpa";
 allow-update {key dhcp-key; };
};

אנו בודקים את התחביר

[root @ dns ~] # named-checkconf 
[root @ dns ~] #

מכיוון שהפקודה שלעיל אינה מחזירה דבר, התחביר תקין. עם זאת, אם נבצע את אותה פקודה, אך עם האפשרות -z, הפלט יהיה:

[root @ dns ~] # named-checkconf -z
אזור localhost.localdomain / IN: טעון סידורי 0 אזור localhost / IN: טעון אזור 0 אזור 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: נטען אזור 0 אזור 1.0.0.127.in-addr.arpa/IN: נטען אזור 0 אזור 0.in-addr.arpa/IN: אזור 0 טורתי נטען מ- linux.fan/IN: נטען ממנהל קובץ דינמי / db.fromlinux.fan נכשל: הקובץ לא נמצא אזור מ- Linux.fan/IN: לא נטען בגלל שגיאות. _default / desdelinux.fan / IN: הקובץ לא נמצא אזור 10.168.192.in-addr.arpa/IN: טעינה מקובץ הראשי דינמי / db.10.168.192.in-addr.arpa נכשלה: הקובץ לא נמצא אזור 10.168.192 .in-addr.arpa / IN: לא נטען בגלל שגיאות. _default / 10.168.192.in-addr.arpa / IN: הקובץ לא נמצא

כמובן שמדובר בשגיאות המתרחשות מכיוון שעדיין לא יצרנו את אזורי רישום ה- DNS לדומיין שלנו.

• למידע נוסף על הפקודה שם-צ'ק-קונף, לרוץ איש בשם-צ'ק-קונףלפני שתחפש מידע אחר באינטרנט. אני מבטיח לך שזה יחסוך הרבה זמן.

אנו יוצרים את קובץ ה- Direct Zone מ- linux.fan

... לא בלי קצת תיאוריה קודם. 😉

בתור תבנית ליצירת קובץ נתוני האזור, אנו יכולים לקחת את /var/named/named.empty, או /usr/share/doc/bind-9.9.4/sample/var/named/named.empty. שניהם זהים.

[root @ dns ~] # cat /var/named/named.empty 
$ TTL 3H @ IN SOA @ rname.invalid. (0; 1D סדרתי; רענן 1H; נסה שוב 1W; תפוג 3H); זמן מטמון מינימלי או שלילי לחיות NS @ A 127.0.0.1 AAAA :: 1

זמן החיים - הגיע הזמן לחיות TTL שיא SOA

בואו ניקח סוגריים כדי להסביר את TTL - זמן לחיות מהפנקס SOA - התחלת סמכות של אזור מאסטר. מעניין לדעת את משמעויותיהם כאשר אנו רוצים לשנות את אחד מערכיהם.

TTL $: זמן החיים - זמן לחיות לכל הרשומות בקובץ העוקבות אחר ההצהרה (אך קודמות לכל הצהרת $ TTL אחרת) ואין להן הצהרת TTL מפורשת.

סידורי: מספר סידורי של נתוני האזור. בכל פעם שאנחנו משנים ידנית רשומת DNS באזור, עלינו להגדיל את המספר הזה ב -1, במיוחד אם יש לנו שרתים עבדים או משניים. בכל פעם ששרת DNS משני או עבד יוצר קשר עם שרת האב שלו, הוא מבקש את המספר הסידורי של נתוני המאסטר. אם המספר הסידורי של העבד נמוך יותר, הנתונים עבור אזור זה בשרת העבדים אינם מעודכנים, והעבד מבצע העברת אזור לעדכון עצמו.

לרענן: זה אומר לשרת העבדים את מרווח הזמן בו עליו לבדוק אם הנתונים שלו מעודכנים לגבי המאסטר.

נסה שוב: אם השרת הראשי אינו זמין - מכיוון שהוא חלה, נניח - עבור העבד לאחר פרק זמן לרענן, נסה שוב זה אומר לעבד כמה זמן לחכות לפני שניסה ליצור קשר שוב עם אדונו.

לפוג: אם העבד אינו יכול ליצור קשר עם אדונו למשך פרק זמן מסוים לפוגכך שאם מערכת היחסים בין אזור עבדים-אדונים הובלת, ולשרת העבדים אין ברירה אלא לפוג את האזור המדובר. תפוגת אזור על ידי שרת DNS עבד פירושה שהוא יפסיק להגיב לשאילתות DNS הקשורות לאזור זה, מכיוון שהנתונים הזמינים ישנים מכדי להיות שימושיים.

• האמור לעיל מלמד אותנו בעקיפין ועמוס בשכל ישר נהדר - הפחות נפוץ בחושים - שאם איננו זקוקים לשרתי DNS עבדים להפעלת SME שלנו, איננו מיישמים אותו, אלא אם כן הם נחוצים בהחלט. בואו תמיד ננסה לעבור מהפשוט למתחם.

מינימום: בגרסאות לפני כריכה 8.2, התקליט האחרון SOA זה מציין גם את משך החיים המוגדר כברירת מחדל - זמן ברירת המחדל לחיות, ומטמון שלילי לכל החיים - זמן מטמון שלילי לחיות לאזור. הפעם מתייחס לכל התגובות השליליות שניתנו על ידי השרת המוסמך לאזור.

קובץ אזור /var/named/dynamic/db.fromlinux.fan

[root @ dns ~] # nano /var/named/dynamic/db.fromlinux.fan
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; 1D סדרתי; רענן 1H; נסה שוב 1W; תפוג 3H); מינימום או; זמן מטמון שלילי לחיות; @ IN NS dns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan. @ IN TXT "FromLinux, הבלוג שלך המוקדש לתוכנה חופשית"; sysadmin IN A 192.168.10.1 ad-dC IN A 192.168.10.3 שרת קבצים IN A 192.168.10.4 dns IN A 192.168.10.5 proxyweb IN A 192.168.10.6 blog IN A 192.168.10.7 ftpserver IN A 192.168.10.8 mail IN A 192.168.10.9

אנו בודקים /var/named/dynamic/db.fromlinux.fan

[root @ dns ~] # name-checkzone מ- linux.fan / var / named / dynamic / db. fromlinux.fan
אזור מ- linux.fan/IN: טעון סדרתי 1 בסדר

אנו יוצרים את קובץ ה- Reverse Zone 10.168.192.in-addr.arpa

• רשומת ה- SOA של אזור זה זהה לזו של ה- Direct Zone מבלי להתחשב ברשומת ה- MX..

[root @ dns ~] # nano /var/named/dynamic/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA dns.fromlinux.fan. root.dns.fromlinux.fan. (1; 1D סדרתי; רענן 1H; נסה שוב 1W; תפוג 3H); מינימום או; זמן מטמון שלילי לחיות; @ IN NS dns.fromlinux.fan. ; 1 ב PTR sysadmin.fromlinux.fan. 3 IN PTR ad-dc.fromlinux.fan. 4 IN PTR fileserver.fromlinux.fan. 5 ב- PTR dns.fromlinux.fan. 6 ב- PTR proxyweb.desdelinux.fan. 7 ב PTR blog.desdelinux.fan. 8 IN PTR ftpserver.fromlinux.fan. 9 ב- PTR mail.fromlinux.fan.

[root @ dns ~] # named-checkzone 10.168.192.in-addr.arpa /var/named/dynamic/db.10.168.192.in-addr.arpa 
אזור 10.168.192.in-addr.arpa/IN: טורי סדרתי 1 בסדר

לפני הפעלה מחדש של השם אנו בודקים את תצורתו

• עד שאנו בטוחים שקבצי התצורה שצוינו, בשם.קונף, וקבצי האזור שלו אינם מוגדרים כראוי, אנו ממליצים לא להפעיל מחדש את הדמון. אם נעשה זאת ונשנה מאוחר יותר קובץ אזור, עלינו להגדיל את המספר הסידורי של האזור שהשתנה ב -1.

• בואו נסתכל על ה- "." בסוף שמות הדומיין והמארח.

[root @ dns ~] # named-checkconf 
[root @ dns ~] # named-checkconf -z
אזור localhost.localdomain / IN: טעון סידורי 0 אזור localhost / IN: נטען אזור 0 אזור 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: אזור סידורי 0 טעון 1.0.0.127.in-addr.arpa/IN: טען אזור 0 אזור 0.in-addr.arpa/IN: אזור 0 סידורי נטען מ- linux.fan/IN: סידורי 1 טעון אזור 10.168.192.in-addr.arpa/IN: טעינה טורית 1

כל התצורה בשם הנוכחי

כדי להשיג בהירות, ולמרות שהמאמר נעשה ארוך, אנו נותנים את הפלט המלא של הפקודה בשם-checkconf -zp:

[root @ dns ~] # named-checkconf -zp
אזור localhost.localdomain / IN: נטען סידורי 0 אזור localhost / IN: אזור נטען 0 אזור 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .ip6.arpa / IN: נטען אזור 0 אזורית 1.0.0.127.in-addr.arpa/IN: נטען אזור 0 אזור 0.in-addr.arpa/IN: נטען אזור 0 אזור מ- linux.fan/IN: טעון סדרתי 1 אזור 10.168.192.in-addr.arpa/IN: טעון אפשרויות 1 סדרתיות {bindkeys-file "/etc/named.iscdlv.key"; file-keyfile "/ run/named/session.key"; ספריה "/ var / named"; קובץ dump "/var/named/data/cache_dump.db"; יציאת האזנה 53 {127.0.0.1/32; 192.168.10.5/32; }; האזן ב- v6 יציאה 53 {:: 1/128; }; ספריה מנוהלת-מפתחות "/ var / named / dynamic"; קובץ memstatistics "/var/named/data/named_mem_stats.txt"; קובץ pid "/run/named/named.pid"; קובץ סטטיסטיקה "/var/named/data/named_stats.txt"; הפעלת dnssec כן; אימות dnssec כן; רקורסיה לא; allow-query {"mired"; }; העברת היתר {192.168.10.1/32; }; }; acl "mired" {127.0.0.0/8; 192.168.10.0/24; }; רישום של {channel "default_debug" {file "data / named.run"; דינמיות חומרה; }; }; מקש "dhcp-key" {אלגוריתם "hmac-md5"; סודי "OI7Vs + TO83L7ghUm2xNVKg =="; }; אזור "." IN {סוג רמז; קובץ "named.ca"; }; אזור "localhost.localdomain" IN {master master; קובץ "named.localhost"; allow-update {"none"; }; }; אזור "localhost" IN {master master; קובץ "named.localhost"; allow-update {"none"; }; }; אזור "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN {סוג מאסטר; קובץ "בשם. loopback"; allow-update {"none"; }; }; אזור "1.0.0.127.in-addr.arpa" IN {master type; קובץ "בשם. loopback"; allow-update {"none"; }; }; אזור "0.in-addr.arpa" IN {master master; קובץ "named.empty"; allow-update {"none"; }; }; אזור "desdelinux.fan" {master master; קובץ "דינמי / db.fromlinux.fan"; allow-update {key "dhcp-key"; }; }; אזור "10.168.192.in-addr.arpa" {סוג מאסטר; קובץ "דינמי / db.10.168.192.in-addr.arpa"; allow-update {key "dhcp-key"; }; }; מפתחות מנוהלים {"." המפתח הראשוני-257 ב -3 במרץ "AwEAAagAIKlVZrpC8Ia6gEzahOR + 7W9euxhJhVVLOyQbSEW29O0gcCjF FVQUTf8v6fLjwBd58YI0EzrAcQqBGCzh / RStIoO0g8NfnfL0MTJRkxoX bfDaUeVPQuYEhg2NZWAJQ37VnMVDxP / VHL9M / QZxkjf496 / Efucp5gaD X2RS6CXpoY6LsvPVjR68ZSwzz0apAzvN1dlzEheX9ICJBBtuA7G6LQpz W3hOA5hzCTMjJPJ2LbqF8dsV6DoBQzgul6sGIcGOYl0OyQdXfZ7relS Qageu + ipAdTTJ57AsRTAoub25ONGcLmqrAmRLKBP8dfwhYB1N4knNnulq QXA + Uk7ihz1 ="; };

• בעקבות נוהל שינוי ה- בשם.קונף בהתאם לצרכים שלנו ולבדוק, וליצור כל קובץ אזור ולבדוק אותו, אנו בספק שנצטרך להתמודד עם בעיות תצורה גדולות. בסופו של דבר אנו מבינים שזה משחק של ילד, עם הרבה מושגים ותחביר מטריד. 😉

הבדיקות החזירו תוצאות משביעות רצון, לכן נוכל להפעיל מחדש את ה- BIND - בשם.

אנו מפעילים מחדש את השם ובודקים את מצבו

[root @ dns ~] # הפעלה מחדש של systemctl בשם.שירות
[root @ dns ~] # systemctl status בשם.שירות

אם נקבל שגיאה כלשהי בפלט של הפקודה האחרונה, עלינו להפעיל מחדש את ה- בשם. שירות ובדוק מחדש את שלך מצב. אם השגיאות נעלמו, השירות התחיל בהצלחה. אחרת, עלינו לבצע סקירה יסודית של כל הקבצים ששונו ויצרו, ולחזור על הנוהל.

הפלט הנכון של הסטטוס צריך להיות:

[root @ dns ~] # systemctl status בשם.שירות
● named.service - דומיין שם האינטרנט של ברקלי (DNS) טעון: נטען (/usr/lib/systemd/system/named.service; מופעל; הגדרת הגדרות קבועות מראש של ספק: מושבתת) פעיל: פעיל (רץ) מאז יום ראשון 2017/01/29 10:05:32 EST; לפני 2 דקות 57 שניות תהליך: 1777 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 2> & 1 || / bin / kill -TERM $ MAINPID (code = exited, status = 0 / SUCCESS) תהליך: 1788 ExecStart = / usr / sbin / named -u בשם $ OPTIONS (code = exited, status = 0 / SUCCESS) תהליך: 1786 ExecStartPre = / bin / bash -c אם [! "$ DISABLE_ZONE_CHECKING" == "כן"]; ואז / usr / sbin / named-checkconf -z /etc/named.conf; אחר מהדהד "בדיקת קבצי אזור מושבתת"; fi (code = exited, status = 0 / SUCCESS) PID ראשי: 1791 (שם) CGroup: /system.slice/named.service └─1791 / usr / sbin / named -u בשם 29 Jan 10:05:32 dns בשם [1791]: אזור 1.0.0.127.in-addr.arpa/IN: טעון סדרתי 0 29 בינואר 10:05:32 dns בשם [1791]: אזור 10.168.192.in-addr.arpa/IN: טעון סדרתי 1 בינואר 29 10:05:32 dns בשם [1791]: אזור 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN : טעון סדרתי 0 29 בינואר 10:05:32 dns בשם [1791]: אזור desdelinux.fan/IN: טעון סדרתי 1 29 בינואר 10:05:32 dns בשם [1791]: אזור localhost.localdomain / IN: טעון סדרתי 0 29 בינואר 10:05:32 dns בשם [1791]: אזור localhost / IN: טעון סדרתי 0 29 בינואר 10:05:32 dns בשם [1791]: כל האזורים טעונים
29 בינואר 10:05:32 dns בשם [1791]: ריצה
29 בינואר 10:05:32 dns systemd [1]: התחיל דומיין שם האינטרנט של ברקלי (DNS). 29 בינואר 10:05:32 dns בשם [1791]: אזור 10.168.192.in-addr.arpa/IN: הודעות שליחה (סדרתי 1)

בדיקות

ניתן לבצע את הבדיקות על אותו שרת או על מכונה המחוברת לרשת LAN. אנחנו מעדיפים לעשות אותם מהקבוצה sysadmin.fromlinux.fan אליהם נתנו אישור מפורש לבצע העברות אזוריות. הקובץ / Etc / resolv.conf של אותו צוות הוא:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# נוצר על ידי חיפוש NetworkManager מ- linux.fan nameserver 192.168.10.5

buzz @ sysadmin: ~ $ חפירה מ- linux.fan axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> desdelinux.fan axfr ;; אפשרויות גלובליות: + cmd מ- linux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 מ- linux.fan. 10800 ב- NS dns.fromlinux.fan. מ- linux.fan. 10800 IN MX 10 mail.fromlinux.fan. מ- linux.fan. 10800 IN TXT "FromLinux, הבלוג שלך מוקדש לתוכנה חופשית" ad-dc.desdelinux.fan. 10800 IN A 192.168.10.3 blog.desdelinux.fan. 10800 IN A 192.168.10.7 dns.fromlinux.fan. 10800 IN A 192.168.10.5 fileserver.fromlinux.fan. 10800 IN A 192.168.10.4 ftpserver.fromlinux.fan. 10800 IN A 192.168.10.8 mail.fromlinux.fan. 10800 IN A 192.168.10.9 proxyweb.fromlinux.fan. 10800 IN A 192.168.10.6 sysadmin.fromlinux.fan. 10800 IN עד 192.168.10.1 מ- linux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 1 86400 3600 604800 10800 ;; זמן שאילתה: 0 אלפיות השנייה ;; שרת: 192.168.10.5 # 53 (192.168.10.5) ;; מתי: יום ראשון 29 בינואר 11:44:18 EST 2017 ;; גודל XFR: 13 רשומות (הודעות 1, בתים 385)

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr
; << >> DiG 9.9.5-9 + deb8u1-Debian << >> 10.168.192.in-addr.arpa axfr ;; אפשרויות גלובליות: + cmd 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan.10.168.192.in-addr.arpa. root.dns.fromlinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 ב- NS dns.fromlinux.fan. 1.10.168.192.in-addr.arpa. 10800 ב- PTR sysadmin.fromlinux.fan. 3.10.168.192.in-addr.arpa. 10800 IN PTR ad-dc.fromlinux.fan. 4.10.168.192.in-addr.arpa. 10800 IN PTR fileserver.fromlinux.fan. 5.10.168.192.in-addr.arpa. 10800 ב- PTR dns.fromlinux.fan. 6.10.168.192.in-addr.arpa. 10800 ב- PTR proxyweb.fromlinux.fan. 7.10.168.192.in-addr.arpa. 10800 ב- PTR blog.desdelinux.fan. 8.10.168.192.in-addr.arpa. 10800 IN PTR ftpserver.fromlinux.fan. 9.10.168.192.in-addr.arpa. 10800 ב- PTR mail.fromlinux.fan. 10.168.192.in-addr.arpa. 10800 ב- SOA dns.fromlinux.fan.10.168.192.in-addr.arpa. root.dns.fromlinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 ;; זמן שאילתה: 0 אלפיות השנייה ;; שרת: 192.168.10.5 # 53 (192.168.10.5) ;; מתי: יום ראשון 29 בינואר 11:44:57 EST 2017 ;; גודל XFR: 11 רשומות (הודעות 1, בתים 352)

buzz @ sysadmin: ~ $ dig IN SOA מ- linux.fan
buzz @ sysadmin: ~ $ dig IN MX מ- linux.fan buzz @ sysadmin: ~ $ dig IN TXT מ- linux.fan
buzz @ sysadmin: ~ $ dns מארח
ל- dns.fromlinux.fan כתובת 192.168.10.5
buzz @ sysadmin: ~ $ host sysadmin
ל- sysadmin.desdelinux.fan יש כתובת 192.168.10.1 ... וכל בדיקה אחרת שאנחנו צריכים

• עד כה יש לנו בסיס לשרת DNS ברשת ה- SME שלנו. אנו מקווים שנהניתם מההליך כולו, שהיה די פשוט, נכון? 😉

אנו מתקינים ומגדירים את התצורה של DHCP

[root @ dns ~] # yum להתקין dhcp
תוספים טעונים: המהיר מירור, langpacks בסיס בסיסי | 3.4 kB 00:00:00 centos-updates | 3.4 kB 00:00:00 טעינת מהירויות מראה מהקובץ המארח במטמון פתרון תלות -> הפעלת בדיקת עסקאות ---> חבילה dhcp.x86_64 12: 4.2.5-42.el7.centos חייבים להתקין -> פתרון תלות הסתיימו תלות נפתרת ================================================= ===================================================== ===================================== גודל מאגר גרסאות ארכיטקטורת חבילה ============ ===================================================== ===================================================== ======================= התקנה: dhcp x86_64 12: 4.2.5-42.el7.centos-base 511k סיכום עסקאות ==== ===================================================== ===================================================== ============================= התקן 1 חבילה גודל הורדה כולל: 511k גודל מותקן: 1.4 M האם זה בסדר [y / d / N]: y הורדת חבילות: dhcp-4.2.5-42.el7.centos.x86_64.rpm | 511 kB 00:00:00 הפעלת בדיקת עסקה הפעלת בדיקת עסקאות בדיקת עסקאות הצליחה הפעלת עסקה התקנה: 12: dhcp-4.2.5-42.el7.centos.x86_64 1/1 בדיקה: 12: dhcp-4.2.5-42. el7.centos.x86_64 1/1 מותקן: dhcp.x86_64 12: 4.2.5-42.el7.centos בוצע!

[root @ dns ~] # nano /etc/dhcp/dhcpd.conf
# # קובץ תצורה של שרת DHCP. # ראה /usr/share/doc/dhcp*/dhcpd.conf.example # ראה dhcpd.conf (5) דף אדם # ddns-style-style interim; ddns-updates על; ddns-domainname "desdelinux.fan."; ddns-rev-domainname "in-addr.arpa."; התעלם מעדכוני לקוח; מוּסמָך; אפשרות העברת ip כבויה; שם תחום אפשרות "desdelinux.fan"; # אפשרות ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org; כוללים "/etc/dhcp.key"; אזור מ- linux.fan. {127.0.0.1 ראשוני; מפתח dhcp-key; } אזור 10.168.192.in-addr.arpa. {127.0.0.1 ראשוני; מקש dhcp-key; } מיקוד מחדש של רשת משותפת {subnet 192.168.10.0 netmask 255.255.255.0 {routers option 192.168.10.1; מסכת רשת משנה אופציה 255.255.255.0; אפשרות שידור אפשרות 192.168.10.255; שרתי שמות מתחם אופציה 192.168.10.5; אפשרות שרתים נטביוס אפשרות 192.168.10.5; טווח 192.168.10.30 192.168.10.250; }} # END dhcpd.conf

[root @ dns ~] # dhcpd -t
קונסורציום מערכות אינטרנט אינטרנט שרת DHCP 4.2.5 זכויות יוצרים 2004-2013 קונסורציום מערכות אינטרנט. כל הזכויות שמורות. למידע, בקר בכתובת https://www.isc.org/software/dhcp/ לא מחפש ב- LDAP מכיוון ש- ldap-server, ldap-port ו- ldap-base-dn לא צוינו בקובץ התצורה.

[root @ dns ~] # systemctl מאפשר dhcpd
נוצר קישור סימלי מ /etc/systemd/system/multi-user.target.wants/dhcpd.service אל /usr/lib/systemd/system/dhcpd.service.

[root @ dns ~] # systemctl התחל dhcpd

[root @ dns ~] # systemctl status dhcpd
● dhcpd.service - שרת ה- DHCPv4 שרת טעון: טעון (/usr/lib/systemd/system/dhcpd.service; מופעל; הגדרת הגדרות קבוע מראש: מושבתת) פעיל: פעיל (פועל) מאז dom 2017-01-29 12:04:59 IT T; לפני 23 שניות Docs: man: dhcpd (8) man: dhcpd.conf (5) PID ראשי: 2381 (dhcpd) סטטוס: "משלוח מנות ..." CGroup: /system.slice/dhcpd.service 2381─29 / usr / sbin / dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd - no-pid 12 בינואר 04:59:2381 dns dhcpd [4.2.5]: שרת DHCP מערכות מערכות אינטרנט 29 12 בינואר 04 : 59: 2381 dns dhcpd [2004]: זכויות יוצרים 2013-29 קונסורציום מערכות אינטרנט. 12 בינואר 04:59:2381 dns dhcpd [29]: כל הזכויות שמורות. 12 בינואר 04:59:2381 dns dhcpd [29]: למידע, אנא בקר בכתובת https://www.isc.org/software/dhcp/ 12 בינואר 04:59:2381 dns dhcpd [29]: לא מחפש ב- LDAP מאז ldap -שרת, ldap-port ו- ldap-base-dn לא צוינו בקובץ התצורה 12 בינואר 04:59:2381 dns dhcpd [0]: נכתב 29 קובץ שכירות לשכירות. 12 בינואר 04:59:2381 dns dhcpd [0]: האזנה ב- LPF / eth52 / 54: 00: 12: 17: 04: 29 / redlocal 12 בינואר 04:59:2381 dns dhcpd [0]: שליחה ב- LPF / eth52 / 54: 00: 12: 17: 04: 29 / מיקוד מחדש 12 בינואר 04:59:2381 dns dhcpd [29]: שליחה ב- Socket / fallback / fallback-net 12 בינואר 04:59:1 dns systemd [4]: התחיל שרת השרת DHCPvXNUMX.

מה נותר לעשות?

פָּשׁוּט. הפעל Windows 7 או לקוח אחר באמצעות תוכנה חופשית והתחל לבדוק ולבדוק. עשינו זאת עם שני לקוחות: seven.fromlinux.fan y suse-desktop.fromlinux.fan. השיקים היו כדלקמן:

buzz @ sysadmin: ~ $ מארח שבעה
לשבעה.מ- Linux.fan כתובת 192.168.10.30

buzz @ sysadmin: ~ $ מארח seven.fromlinux.fan
לשבעה.מ- Linux.fan כתובת 192.168.10.30

buzz @ sysadmin: ~ $ dig IN TXT seven.fromlinux.fan
.... ;; קטע השאלה :; seven.fromlinux.fan. IN TXT ;; סעיף תשובה: seven.desdelinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"....

אנו משנים את שם הצוות "שבע" ל"לאגר "ומבצעים אתחול מחדש. לאחר הפעלה מחדש של ה- LAGER החדש, אנו בודקים:

buzz @ sysadmin: ~ $ מארח שבעה
מארח שבעה לא נמצא: 5 (סירוב)

buzz @ sysadmin: ~ $ מארח seven.fromlinux.fan
מארח seven.desdelinux.fan לא נמצא: 3 (NXDOMAIN)

זמזום@sysadmin: ~ לאגר מארח
ל- lager.desdelinux.fan כתובת 192.168.10.30

זמזום@sysadmin: ~ $ מארח lager.fromlinux.fan
ל- lager.desdelinux.fan כתובת 192.168.10.30

buzz @ sysadmin: ~ $ dig IN TXT lager.fromlinux.fan
.... ;; קטע השאלה :; lager.fromlinux.fan. IN TXT ;; סעיף תשובה: lager.fromlinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"....

לגבי לקוח suse-desktop:

buzz @ sysadmin: ~ $ מארח suse-desktop
שולחן העבודה המארח לא נמצא: 5 (סירוב)

buzz @ sysadmin: ~ $ מארח suse-desktop
ל- suse-desktop.desdelinux.fan כתובת 192.168.10.33

buzz @ sysadmin: ~ $ מארח suse-desktop.fromlinux.fan
ל- suse-desktop.desdelinux.fan כתובת 192.168.10.33

buzz @ sysadmin: ~ $ מארח 192.168.10.33
33.10.168.192.in-addr.arpa מצביע שם תחום suse-desktop.desdelinux.fan.

buzz @ sysadmin: ~ $ מארח 192.168.10.30
30.10.168.192.in-addr.arpa מצביע שם תחום LAGER.desdelinux.fan.

buzz @ sysadmin: ~ $ dig -x 192.168.10.33
.... ;; קטע השאלה:; 33.10.168.192.in-addr.arpa. IN PTR ;; סעיף תשובה: 33.10.168.192.in-addr.arpa. 3600 IN PTR suse-desktop.fromlinux.fan. ;; מדור רשות: 10.168.192.in-addr.arpa. 10800 ב- NS dns.fromlinux.fan. ;; קטע נוסף: dns.fromlinux.fan. 10800 ב A 192.168.10.5 ....

buzz @ sysadmin: ~ $ dig IN TXT suse-desktop.fromlinux.fan ....
; suse-desktop.desdelinux.fan. IN TXT ;; סעיף תשובה: suse-desktop.desdelinux.fan. 3600 ב TXT "31b78d287769160c93e6dca472e9b46d73"

;; מדור רשות: desdelinux.fan. 10800 ב- NS dns.fromlinux.fan. ;; קטע נוסף: dns.fromlinux.fan. 10800 IN A 192.168.10.5
....

בואו נפעיל גם את הפקודות הבאות

[root @ dns ~] # חפירה מ- linux.fan axfr
; << >> DiG 9.9.4-RedHat-9.9.4-29.el7_2.4 << >> desdelinux.fan axfr ;; אפשרויות גלובליות: + cmd מ- linux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800 מ- linux.fan. 10800 ב- NS dns.fromlinux.fan. מ- linux.fan. 10800 IN MX 10 mail.fromlinux.fan. מ- linux.fan. 10800 IN TXT "FromLinux, הבלוג שלך המוקדש לתוכנה חופשית" ad-dc.desdelinux.fan. 10800 IN A 192.168.10.3 blog.desdelinux.fan. 10800 IN A 192.168.10.7 dns.fromlinux.fan. 10800 IN A 192.168.10.5 fileserver.fromlinux.fan. 10800 IN A 192.168.10.4 ftpserver.fromlinux.fan. 10800 IN A 192.168.10.8 LAGER.fromlinux.fan. 3600 IN TXT "31b7228ddd3a3b73be2fda9e09e601f3e9"LAGER.fromlinux.fan.   3600 בשנת 192.168.10.30 mail.fromlinux.fan. 10800 IN 192.168.10.9 proxyweb.fromlinux.fan. 10800 IN 192.168.10.6 suse-desktop.fromlinux.fan. 3600 IN TXT "31b78d287769160c93e6dca472e9b46d73"suse-desktop.desdelinux.fan. 3600 בשנת 192.168.10.33 sysadmin.fromlinux.fan. 10800 IN עד 192.168.10.1 מ- linux.fan. 10800 ב- SOA dns.fromlinux.fan. root.dns.fromlinux.fan. 6 86400 3600 604800 10800

בפלט לעיל הדגשנו על נוֹעָז ה TTL -בשניות - למחשבים עם כתובות IP המוענקות על ידי שירות DHCP, אלה שיש להם הצהרה מפורשת על ה- TTL 3600 שניתנה על ידי ה- DHCP. כתובות IP קבועות מונחות על ידי $ TTL של 3 שעות -3 שעות = 10800 שניות - המוצהר ברשומת ה- SOA של כל קובץ אזור.

הם יכולים גם לבדוק את האזור ההפוך.

[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr

פקודות מעניינות במיוחד הן:

[root @ dns ~] # named-journalprint /var/named/dynamic/db.desdelinux.fan.jnl
[root @ dns ~] # named-journalprint /var/named/dynamic/db.10.168.192.in-addr.arpa.jnl
[root @ dns ~] # journalctl -f

שינוי ידני של קבצי אזורים

לאחר DHCP נכנס למשחק של עדכון דינמי של קבצי האזור של בשםאם נצטרך לשנות ידנית קובץ אזור, עלינו לבצע את ההליך הבא, אך לא לפני שנדע מעט יותר על פעולת השירות. rndc לבקרת שרת שמות.

[root @ dns ~] # man rndc
....
       להקפיא [אזור [מחלקה [תצוגה]]]
           השהיית עדכונים לאזור דינמי. אם לא מוגדר אזור, כל האזורים מושעים. זה מאפשר לערוך ידניות באזור המעודכן בדרך כלל על ידי עדכון דינמי. זה גם גורם לסינכרון שינויים בקובץ היומן לקובץ הראשי. כל ניסיונות העדכון הדינמיים יידחו בזמן שהאזור קפוא.

       להפשיר [אזור [מחלקה [תצוגה]]]
           אפשר עדכונים לאזור דינמי קפוא. אם לא צוין אזור, כל האזורים הקפואים מופעלים. זה גורם לשרת לטעון מחדש את האזור מהדיסק, ולהפעיל מחדש עדכונים דינמיים לאחר השלמת הטעינה. לאחר הפשרת אזור, עדכונים דינמיים כבר לא יסורבו. אם האזור השתנה ואופציית ixfr-from-difference נמצאת בשימוש, קובץ היומן יעודכן כך שישקף שינויים באזור. אחרת, אם האזור השתנה, כל קובץ יומן קיים יוסר. ....

מה, חשבת שאני הולך לתמלל את כל המדריך? ... חתיכה והם נוסעים במכונית. את השאר אני משאיר לך. 😉

בעיקרון:

• הקפאת rndc [אזור [מחלקה [תצוגה]]], משעה את העדכון הדינמי של אזור. אם לא צוין אחד מהם, הכל יקפא. הפקודה מאפשרת עריכה ידנית של האזור הקפוא או של כל האזורים. כל עדכון דינמי יידחה כשהוא מוקפא.
• להפשיר rndc [אזור [מחלקה [תצוגה]]], מאפשר עדכונים דינמיים באזור קפוא בעבר. שרת ה- DNS טוען מחדש את קובץ האזור מהדיסק, ועדכונים דינמיים מופעלים מחדש לאחר השלמת הטעינה מחדש.

אזהרות שיש לנקוט כאשר אנו עורכים ידנית קובץ אזור? אותו הדבר כאילו היינו יוצרים אותו, מבלי לשכוח להגדיל את המספר הסידורי ב -1 או סידורי לפני שמירת הקובץ עם השינויים הסופיים.

לדוגמה:

[root @ dns ~] # הקפאה rndc מ- linux.fan

[root @ dns ~] # nano /var/named/dynamic/db.fromlinux.fan
אני משנה את קובץ האזור מכל סיבה שהיא, נחוצה או לא. אני שומר את השינויים

[root @ dns ~] # rndc ההפשרה מ- linux.fan
התחל לטעון מחדש ולהפשיר אזור. בדוק ביומנים כדי לראות את התוצאה.

[root @ dns ~] # journalctl -f
29 בינואר 14:06:46 dns בשם [2257]: אזור ההפשרה 'desdelinux.fan/IN': הצלחה
29 בינואר 14:06:46 dns בשם [2257]: אזור מ- linux.fan/IN: אזור סידורי (6) ללא שינוי. אזור עשוי להיכשל בהעברה לעבדים.
29 בינואר 14:06:46 dns בשם [2257]: אזור desdelinux.fan/IN: טעון סדרתי 6

השגיאה בפלט הקודם, המוצגת באדום בקונסולה, נובעת מהעובדה ש"שכחתי "להגדיל את המספר הסידורי ב- 1. אם הייתי מבצע את ההליך נכון, הפלט היה:

[root @ dns ~] # journalctl -f
- יומני החל מתחילים ביום ראשון 2017-01-29 08:31:32 EST. - 29 בינואר 14:06:46 dns בשם [2257]: zone desdelinux.fan/IN: טעון סדרתי 6 29 בינואר 14:10:01 dns systemd [1]: התחיל מושב 43 של שורש המשתמש. 29 בינואר 14:10:01 dns systemd [1]: הפעלת מושב 43 של שורש המשתמש. 29 בינואר 14:10:01 dns CROND [2693]: (root) CMD (/ usr / lib64 / sa / sa1 1) 1 בינואר 29:14:10 dns בשם [45]: קיבלה פקודת ערוץ שליטה 'הקפאה מלינוקס. אוהד '2257 בינואר 29:14:10 dns בשם [45]: אזור הקפאה' desdelinux.fan/IN ': הצלחה 2257 בינואר 29:14:10 dns בשם [58]: קיבל פיקוד על ערוץ הבקרה' הפשר desdelinux.fan 'יאן 2257 29:14:10 dns בשם [58]: הפשרת אזור 'desdelinux.fan/IN': הצלחה 2257 בינואר 29:14:10 dns בשם [58]: zone desdelinux.fan/IN: קובץ היומן לא מעודכן: הסרת קובץ יומן 2257 בינואר 29:14:10 dns בשם [58]: אזור desdelinux.fan/IN: טעינה סדרתי 2257

• קורא חברים, אני חוזר ועליך לקרוא בעיון את תפוקות הפקודות. עבור משהו שהמפתחים שלו השקיעו כל כך הרבה עבודה בתכנות כל פקודה, לא משנה כמה זה פשוט.

תקציר

עד כה התייחסנו ליישום צמד ה- DNS - DHCP, שירותים חשובים ומכריעים לביצועים הטובים של רשת ה- SME שלנו, בהתייחסו למתן כתובות דינמיות באמצעות DHCP ולרזולוציה של שמות מחשבים ותחומים באמצעות DNS.

אנו מאוד מקווים שנהניתם מההליך כולו כפי שעשינו. למרות שזה אולי נראה קשה יותר בשימוש בקונסולה, קל וחינוכי יותר ליישם שירות ב- UNIX® / Linux בעזרתו.

הם סולחים לי על כל פרשנות שגויה של מושגים שנחשבו, נוצרו, נכתבו, תוקנו, שכתבו ושפורסמו בשפתו של שייקספיר, ולא סרוונטס. 😉

המסירה הבאה

אני חושב שקצת יותר מאותו הדבר - עם תוספות תיאורטיות ברשומות DNS - אבל בדביאן. אנחנו לא יכולים לשכוח את ההפצה הזו, נכון?